Technisch gesehen

Mich haben die bei der Arbeit vor 20 Jahren nicht an BGP rangelassen. Mit grund. Es ist ein schwieriges Protokoll, schlecht erklärt und anfällig das ganze Internet zu misrouten. Und das ist auch damals passiert für ungefähr 5 minuten kamen das ganze Internet durch einen T3.

Ist doch schade das nach 20 Jahren das Internet immer noch mit BGP gesteuert wird. Wann wird ein richtiges Protokoll das durchdacht und fehlerfrei benutzbar ist geschaffen? BGP is 90'er zeug... veraltet.

So wie das meiste in diesem Zusammenhang? Einmal etabliert - never change a running system ;)

buggy schrieb:
--------------------------------------------------------------------------------
> Mich haben die bei der Arbeit vor 20 Jahren nicht an BGP rangelassen. Mit
> grund. Es ist ein schwieriges Protokoll, schlecht erklärt und anfällig das
> ganze Internet zu misrouten. Und das ist auch damals passiert für ungefähr
> 5 minuten kamen das ganze Internet durch einen T3.
>
> Ist doch schade das nach 20 Jahren das Internet immer noch mit BGP
> gesteuert wird. Wann wird ein richtiges Protokoll das durchdacht und
> fehlerfrei benutzbar ist geschaffen? BGP is 90'er zeug... veraltet.
Exakt, da liegt das Kernproblem.

Es gäbe durchaus Mechanismen um so etwas mit BGP zu verhindern, daran besteht aber aus rein kommerzieller Sicht schon gar kein Interesse.

Technisch gesehen ist BGP super, wenn richtig konfiguriert.

Würde das bedeuten, wenn jemand absichtlich die routingtabellen durcheinander bringt könnte er so das gesamte Internet lahm legen?

Wenn ja und das halbwegs einfach ist müsste doch öfters mal was ausfallen.

x2k schrieb:
--------------------------------------------------------------------------------
> Würde das bedeuten, wenn jemand absichtlich die routingtabellen
> durcheinander bringt könnte er so das gesamte Internet lahm legen?
>
> Wenn ja und das halbwegs einfach ist müsste doch öfters mal was ausfallen.
Es gibt wesentlich weniger Arschlöcher als die meisten denken.

Ich meine jetzt keine Admins die gefeuert wurden und sich rächen wollen.
Eher Hacker die solche Systeme angreifen um schaden anzurichten.

Gut erkannt, der Hauptteil des Internets basiert auf vertrauen und darauf, dass die meisten wollen dass es weiter läuft.

Und wie man sieht ist es relativ einfach dieses System zu stören.

Dass sowas nicht öfter passiert, liegt vermutlich einfach daran dass nicht alle, die derartige Störungen anrichten wollen (mit welcher Motivation auch immer), Zugang zu einem ungefilterten BGP-Peering mit ausreichend Bandbreite haben.

Zudem ist es in den meisten Fällen "sinnvoller", Bogon-Prefixe zu announcen um damit dann Bruteforce-Attacken zu fahren oder versuchen Spam einzukippen. Bei der Verwendung von Bogons ist zudem auch selten ein Provider oder Anbieter da, der sowas merkt und sich mit Händen und Füßen dagegen wehrt.

Ich fürchte die Realität ist genau umgekehrt ^^' ...

buggy schrieb:
--------------------------------------------------------------------------------
> Mich haben die bei der Arbeit vor 20 Jahren nicht an BGP rangelassen. Mit
> grund. Es ist ein schwieriges Protokoll, schlecht erklärt und anfällig das
> ganze Internet zu misrouten. Und das ist auch damals passiert für ungefähr
> 5 minuten kamen das ganze Internet durch einen T3.
>
> Ist doch schade das nach 20 Jahren das Internet immer noch mit BGP
> gesteuert wird. Wann wird ein richtiges Protokoll das durchdacht und
> fehlerfrei benutzbar ist geschaffen? BGP is 90'er zeug... veraltet.

Man akzeptiert bgp Anfragen auch nur von Vertrauenswürdigen Quellen. Normalerweise kann das, was da passiert ist gar nicht passieren, wenn da Leute sitzen würden, die Ahnung davon haben was sie da tun.

Da sitzen Leute die Ahnung haben was sie tun, nur stehen kommerzielle Interessen oft vor "konfiguriere es bitte richtig".

bbk schrieb:
--------------------------------------------------------------------------------
> Da sitzen Leute die Ahnung haben was sie tun, nur stehen kommerzielle
> Interessen oft vor "konfiguriere es bitte richtig".

BGP beim mittlerem Provider sieht normalerweise so aus dass man Traffic zwischen zwei oder drei Leitungen verteilt und umgeleitet wird. Wenn z.B. der Provider "Happy Rosenheim" eine BGP-Meldung rausläßt "ab sofort sind wir AS1 bis AS1000000" dann sollte das die BGP-Router des DECIX usw einfach nicht interessieren.

Da haben mehrere BGP-Core-Router geschlampt. Dein kleinen kann man eigentlich kaum einen Vorwurf machen die hätten nie diese Rechte bekommen dürfen.

Und genau sowas erlauben wir Netzwerker teilweise aus kommerziellen Gründen, denn die Kunden sind zu dumm ihr Zeug zu konfigurieren. Müssen aber trotzdem ans Internet also werden die Sperren gelockert, damit es dann doch geht.

Das eskaliert bis in die höchsten Ebenen und wird unter entsprechenden Hinweisen dann trotzdem durchgewunken.

http://blog.ipspace.net/2017/12/bgp-tragedy-of-commons.html